S/MIME การจัดการใบรับรองด้วย Microsoft Azure Active Directory และ inTune โดยใช้ SSL.com Azure Integration Tool

Azure Active Directory คืออะไร

Azure Active Directory (Azure AD) ทำหน้าที่เป็นบริการระบุตัวตนและการจัดการการเข้าถึงที่มีประสิทธิภาพโดยการผสานรวมการจัดการใบรับรองดิจิทัล ความสามารถนี้ช่วยให้องค์กรสามารถรวมศูนย์การจัดการใบรับรอง ปรับปรุงความปลอดภัย และทำให้งานการดูแลระบบง่ายขึ้น ด้วยการใช้ประโยชน์จาก Azure AD องค์กรต่างๆ จะตรวจสอบให้แน่ใจว่าใบรับรองดิจิทัลของตนได้รับการจัดการด้วยความพร้อมใช้งานสูงและเป็นไปตามมาตรฐานอุตสาหกรรม ดังนั้นจึงปกป้องข้อมูลและการสื่อสารที่ละเอียดอ่อน

Microsoft Intune คืออะไร? 

Microsoft Intune เพิ่มความคล่องตัวในการใช้งาน S/MIME ใบรับรองบนอุปกรณ์ต่างๆ เพิ่มความปลอดภัยอีเมลผ่านการเข้ารหัสและลายเซ็นดิจิทัล ด้วยการใช้ประโยชน์จาก Intune องค์กรต่างๆ จึงสามารถส่งมอบได้โดยอัตโนมัติ S/MIME การลงนามและใบรับรองการเข้ารหัสไปยังอุปกรณ์ที่ทำงานบน Android, iOS/iPadOS, macOS และ Windows 10/11 บนอุปกรณ์ iOS ที่ใช้โปรแกรมรับส่งเมลแบบเนทีฟ และบนอุปกรณ์ iOS และ Android ที่ใช้ Outlook S/MIME ใบรับรองจะเชื่อมโยงกับโปรไฟล์เมลโดยอัตโนมัติ ช่วยให้มั่นใจได้ถึงการบูรณาการที่ราบรื่นและความปลอดภัยของอีเมลที่ได้รับการปรับปรุง สำหรับแพลตฟอร์ม Windows และ macOS รวมถึงโปรแกรมรับส่งเมลอื่นๆ บน iOS และ Android นั้น Intune จะอำนวยความสะดวกในการเผยแพร่ S/MIME ใบรับรอง อย่างไรก็ตาม ผู้ใช้จะต้องเปิดใช้งานด้วยตนเอง S/MIME ในแอปพลิเคชันเมลของตนและเลือกใบรับรอง ความสามารถนี้ของ Intune ช่วยลดความยุ่งยากในกระบวนการปรับใช้ ทำให้มั่นใจได้ว่า S/MIME ใบรับรองพร้อมใช้งานบนอุปกรณ์ที่ได้รับการจัดการ จึงช่วยเพิ่มความปลอดภัยอีเมลโดยรวมโดยเปิดใช้งานการสื่อสารทางอีเมลที่เข้ารหัสและลงนามทั่วทั้งองค์กร
เพิ่มความปลอดภัยให้กับอีเมลของคุณและปกป้องข้อมูลที่ละเอียดอ่อนด้วย SSL.com S/MIME ใบรับรอง

รักษาความปลอดภัยอีเมลของคุณ

วิธีกำหนดค่า Microsoft Intune และ Microsoft Active Directory สำหรับ S/MIME ใบรับรอง

เบื้องต้น

รายการด้านล่างคือข้อกำหนดเบื้องต้นสำหรับ API สิ่งเหล่านี้จำเป็นต้องได้รับการกำหนดค่าบน Intune ผู้เช่าที่จะนำเข้าใบรับรองจาก SSL.com
  • บัญชีที่มีสิทธิ์ผู้ดูแลระบบ Intune
    เพิ่มผู้ใช้และให้สิทธิ์ – Microsoft Intune | ไมโครซอฟต์เรียนรู้
  • ผู้ใช้ทั้งหมดที่นำเข้าใบรับรอง PFX ควรได้รับมอบหมายใบอนุญาต Intune
    มอบหมายใบอนุญาต Microsoft Intune | ไมโครซอฟต์เรียนรู้
  • ติดตั้งและกำหนดค่าตัวเชื่อมต่อใบรับรอง Intune บนเซิร์ฟเวอร์ Windows
    ติดตั้งตัวเชื่อมต่อใบรับรองสำหรับ Microsoft Intune – Azure | ไมโครซอฟต์เรียนรู้
  • คีย์สาธารณะที่ส่งออกจากเซิร์ฟเวอร์เชื่อมต่อ Intune
    ใช้ใบรับรอง PFX ที่นำเข้าใน Microsoft Intune | ไมโครซอฟต์เรียนรู้
  • สร้างแอปพลิเคชันระดับองค์กรใน Microsoft Entra
    คู่มือนี้อนุมานว่าแอป Enterprise จะถูกสร้างขึ้นที่ผู้เช่าแล้ว และ SSL.com จะมีข้อมูลเกี่ยวกับแอปองค์กรที่ลงทะเบียนแล้ว กระบวนการลงทะเบียนแอป Enterprise (โดยใช้พอร์ทัล Entra) มีอธิบายไว้ด้านล่าง
    1. เข้าสู่ระบบพอร์ทัล azure.com และค้นหา รหัส Entra ของ Microsoft
    2. คลิก แอพพลิเคชันระดับองค์กร
    3. คลิก แอพพลิเคชันใหม่
    4. คลิก สร้างแอปพลิเคชันของคุณเอง
    5. ป้อนชื่อแอปพลิเคชันแล้วคลิก สร้างบัญชีตัวแทน
    6. ขณะนี้สร้างแอปพลิเคชันสำเร็จแล้ว
    7. คลิก การลงทะเบียนแอพ
    8. คลิก แอพพลิเคชั่นทั้งหมด
    9. เลือกแอปพลิเคชัน
      หมายเหตุ ID แอปพลิเคชัน และ รหัสไดเรกทอรี: สิ่งเหล่านี้จะต้องส่งผ่านไปยัง API
    10. คลิก ใบรับรองและความลับ จากนั้นเลือก ความลับของลูกค้าใหม่
    11. คลิก การยืนยันตัวตน และเพิ่ม URL เปลี่ยนเส้นทางเว็บของ SSL.com URL การเปลี่ยนเส้นทางคือ https://secure.ssl.com/oauth2/azure เพื่อการผลิตและ https://sandbox.ssl.com/oauth2/azure สำหรับแซนด์บ็อกซ์
    12. ระบุชื่อให้กับคีย์แล้วคลิก เพิ่ม
      สังเกตค่าของคีย์ สิ่งนี้จะต้องส่งผ่านไปยัง API

  • ตั้งค่าโปรไฟล์การนำเข้าใบรับรอง PKCS
    เมื่อนำใบรับรองเข้าสู่ Intune แล้ว ให้กำหนดค่าโปรไฟล์การนำเข้าใบรับรอง PKCS และกำหนดให้กับกลุ่ม Microsoft Entra ที่เกี่ยวข้อง ขั้นตอนโดยละเอียดมีอยู่ในนี้ คู่มือ Microsoft.

ข้อกำหนดการอนุญาตสำหรับแอปพลิเคชันระดับองค์กรเพื่อนำเข้าใบรับรอง

  1. ภายใต้ การลงทะเบียนแอพ >> ชื่อแอปพลิเคชันคลิกสิทธิ์ API
  2. คลิก เพิ่มสิทธิ์.
  3. คลิก กราฟ Microsoft.
  4. คลิก สิทธิ์ที่ได้รับมอบหมาย และค้นหา user.read ทำเครื่องหมายในช่องสำหรับ ผู้ใช้ อ่าน และ ผู้ใช้.อ่าน.ทั้งหมด.
  5. คลิก สิทธิ์ที่ได้รับมอบหมาย และค้นหาคำว่า “กลุ่ม” ทำเครื่องหมายในช่องสำหรับ กลุ่ม ReadWrite.All.
  6. คลิก สิทธิ์ที่ได้รับมอบหมาย และค้นหา “DeviceManagementApps” ทำเครื่องหมายในช่องสำหรับ DeviceManagementApps.ReadWrite.All.
  7. ค้นหา “การกำหนดค่าการจัดการอุปกรณ์” ทำเครื่องหมายในช่องสำหรับ DeviceManagementConfiguration อ่านทั้งหมด และ DeviceManagementConfiguration.ReadWrite.All. ดำเนินการต่อเพื่อคลิก เพิ่มสิทธิ์ ปุ่ม
  8. คลิก เพิ่มสิทธิ์.
  9. เลือก กราฟ Microsoft.
  10. คลิก สิทธิ์การใช้งาน และค้นหาคำว่า “user.read” ทำเครื่องหมายในช่องสำหรับ ผู้ใช้.อ่าน.ทั้งหมด และ User.ReadWrite.All.
  11. คลิก สิทธิ์การใช้งาน และค้นหาคำว่า “กลุ่ม” ทำเครื่องหมายในช่องสำหรับ กลุ่ม ReadWrite.All.
  12. คลิก สิทธิ์การใช้งาน และค้นหา “deviceManagementApps” ทำเครื่องหมายในช่องสำหรับ DeviceManagementApps.ReadWrite.All
  13. คลิก สิทธิ์การใช้งาน และค้นหา “DeviceManagementService” ทำเครื่องหมายในช่องสำหรับ DeviceManagementService.ReadWrite.All
  14. ค้นหา “DeviceManagementConfiguration” และทำเครื่องหมายในช่อง DeviceManagementConfiguration อ่านทั้งหมด และ DeviceManagementConfiguration.ReadWrite.All ดำเนินการต่อเพื่อคลิก เพิ่มสิทธิ์ ปุ่ม
  15. เมื่อกำหนดสิทธิ์ทั้งหมดแล้ว คลิก ให้ความยินยอมของผู้ดูแลระบบสำหรับ [ชื่อองค์กร].
  16. คลิก ใช่ เพื่อให้อนุญาต
  17. การอนุญาตควรได้รับเรียบร้อยแล้ว

วิธีส่งออกใบรับรองไปยัง Azure Active Directory โดยใช้ SSL.com Azure Integration Tool

ส่วนต่อไปนี้ให้คำแนะนำเกี่ยวกับวิธีการใช้เครื่องมือการรวม Azure ของ SSL.com เพื่อส่งออกใบรับรองไปยัง Azure Active Directory 

ข้อกำหนดจาก SSL.com

  1. ข้อตกลงการตรวจสอบความถูกต้องล่วงหน้าของข้อมูลประจำตัวที่ใช้งานอยู่หรือที่เรียกว่าองค์กร PKI (EPKI) ข้อตกลง. ค้นหาคำแนะนำได้ที่นี่ (Enterprise PKI (EPKI) การตั้งค่าข้อตกลง) เพื่อส่งและเปิดใช้งานข้อตกลงนี้ เมื่อเปิดใช้งานแล้ว ก็สามารถดำเนินการตามขั้นตอนในส่วนถัดไปได้
  2. กำหนดค่าบัญชี Microsoft Entra และ Intune ตามที่อธิบายไว้ในส่วนก่อนหน้านี้: วิธีกำหนดค่า Microsoft Intune และ Microsoft Active Directory สำหรับ S/MIME ใบรับรอง.

กำหนดค่าการซิงค์ Azure

  1. เข้าสู่ระบบบัญชี SSL.com ของคุณแล้วคลิก integrations ที่เมนูด้านบน จากตัวเลือกที่แสดงไว้ ให้คลิก Azure AD.
  2. กรอกฟิลด์ที่จำเป็นสำหรับการรวม Azure หลังจากนั้นให้คลิกที่ ลด ปุ่ม
    1. รหัสลูกค้า- รหัสแอปพลิเคชัน (ไคลเอ็นต์)
    2. ความลับของลูกค้า- คัดลอกค่าความลับไคลเอ็นต์จากข้อมูลประจำตัวไคลเอ็นต์
    3. ID ผู้เช่า- รหัสไดเรกทอรี (ผู้เช่า)
    4. คีย์สาธารณะ Intune- คีย์สาธารณะเวอร์ชัน Base64 ที่ส่งออกจากเซิร์ฟเวอร์ตัวเชื่อมต่อ Intune สำหรับรายละเอียดเพิ่มเติม โปรดดูสิ่งนี้ ทรัพยากรของไมโครซอฟต์.

ใช้เครื่องมือบูรณาการ Azure ของ SSL.com เพื่อออก S/MIME ใบรับรอง

  1. เมื่อ สีฟ้า สร้างการตั้งค่าแล้ว คลิก อนุญาต ลิงค์ 

  2. คลิก ผู้ใช้ Azure เพื่อให้สามารถนำเข้ารายชื่อผู้ใช้จาก Azure เข้าสู่ระบบของ SSL.com ได้

  3. คุณจะได้รับแจ้งให้ลงชื่อเข้าใช้บัญชี Microsoft ของคุณ
  4. คลิก นำเข้าผู้ใช้ ปุ่มบนเครื่องมือการรวม Azure ของ SSL.com
  5. SSL.com จะแจ้งให้ทราบว่าข้อมูลของผู้ใช้ Azure ที่จะได้รับมอบหมายใบรับรองดิจิทัลนั้นอยู่ในขั้นตอนการนำเข้า โหลดหน้านี้ซ้ำเพื่อยืนยันว่านำเข้าสิ่งเหล่านี้แล้ว 
  6. SSL.com จะแสดงรายชื่อผู้ใช้ Azure ที่ระบุด้วยชื่อ นามสกุล และที่อยู่อีเมล ทำเครื่องหมายที่ช่องสำหรับผู้ใช้ทั้งหมดที่จะได้รับมอบหมายให้มีใบรับรอง  สามารถเพิ่มจำนวนผู้ใช้ที่แสดงในรายการได้โดยคลิกลูกศรแบบเลื่อนลงที่ด้านซ้ายล่างของหน้า เมื่อสรุปผู้ใช้ที่เลือกแล้ว ให้คลิก ลงทะเบียนใบรับรอง เพื่อดำเนินการต่อ
  7. ปฏิบัติตามข้อกำหนดสำหรับใบรับรอง
    1. ใบรับรองมาตรฐาน: เลือกประเภทใบรับรองที่คุณต้องการกำหนดให้กับผู้ใช้ที่เลือก
    2. ระยะเวลา: ระบุระยะเวลาก่อนที่ใบรับรองจะหมดอายุ 
    3. วัตถุประสงค์ที่ตั้งใจไว้: เลือกระหว่างวัตถุประสงค์ทั่วไป การเข้ารหัส SMIME หรือการลงนาม SMIME
    4. หลังจากที่ตัวเลือกต่างๆ เสร็จสิ้นแล้ว ให้คลิก เพิ่ม ปุ่ม

  8. ผู้ใช้แต่ละคนจะได้รับการกำหนดลำดับใบรับรองใหม่จากที่นี่ เมื่อมีข้อตกลงการตรวจสอบข้อมูลประจำตัวล่วงหน้า คำสั่งซื้อแต่ละรายการจะได้รับการตรวจสอบและออกโดยอัตโนมัติ สามารถยืนยันการออกใบรับรองสำเร็จได้ด้วยการคลิก รายการสั่งซื้อ จากเมนูด้านบน ตามด้วย รายละเอียด ลิงค์ของคำสั่งเฉพาะ โดยเลื่อนลงแล้วคลิก ใบรับรองนิติบุคคลสิ้นสุด ส่วนรายละเอียดของใบรับรองจะปรากฏขึ้นพร้อมทั้งใบรับรองด้วย ออก สถานะ 


คำแนะนำที่เกี่ยวข้อง: 

LDAP หรือ Lightweight Directory Access Protocol เป็นมาตรฐานที่ได้รับการยอมรับอย่างกว้างขวางสำหรับการจัดการบริการข้อมูลไดเรกทอรี รวมถึงข้อมูลผู้ใช้และกลุ่มภายในเครือข่าย เช่นเดียวกับ Azure Active Directory LDAP ให้การจัดการใบรับรองดิจิทัลที่มีประสิทธิภาพ แม้ว่าทั้งสองระบบจะใช้โปรโตคอลความปลอดภัยที่แตกต่างกันก็ตาม  หากคุณกำลังมองหาที่จะจัดการของคุณ S/MIME ใบรับรองพร้อมบริการที่ใช้ LDAP โปรดดูบทความ SSL.com นี้: การบูรณาการ LDAP ด้วย S/MIME ใบรับรอง.

รับทราบข้อมูลและปลอดภัย

SSL.com เป็นผู้นำระดับโลกในด้านความปลอดภัยทางไซเบอร์ PKI และใบรับรองดิจิทัล ลงทะเบียนเพื่อรับข่าวสารอุตสาหกรรม เคล็ดลับ และประกาศผลิตภัณฑ์ล่าสุดจาก SSL.com.

เราชอบความคิดเห็นของคุณ

ทำแบบสำรวจของเราและแจ้งให้เราทราบความคิดเห็นของคุณเกี่ยวกับการซื้อครั้งล่าสุดของคุณ